RTP 패킷을 활용한 SIP 기반 INVITE Flooding 탐지 기법
SIP based Invite Flooding Detection Mechanism using RTP Packet
초록/요약
인터넷이 발전함에 따라 기존의 PSTN(Public Switch Telephone Network)망이 감소하고 VoIP 서비스가 증가하고 있다. VoIP 서비스는 기존의 인터넷을 기반으로 음성, 영상, 메시지들 다양한 멀티미디어 서비스가 제공된다. 최근에는 구현이 쉽고 확장이 용이한 SIP(Session Initiation Protocol)을 이용해 VoIP 서비스를 제공하고 있다. 하지만 SIP는 기존의 인터넷을 사용하여 제공되고 있기 때문에 인터넷상에서 발생할 수 있는 보안위협에 노출 되었다. DDoS(Distributed Denial of Service), VoIP 스팸, 통화 변조 등 다양한 공격을 탐지할 수 있는 효율적인 탐지 방법이 연구 되고 있다. 하지만 기존의 연구들은 정상적인 네트워크 상태를 고려하여 공격을 탐지하였기 때문에 혼잡한 네트워크와 공격을 구분하는데 어려움이 존재한다. 또한 혼잡한 네트워크 상태에서 공격을 받을 경우 탐지가 어렵다. 따라서 본 연구에서는 VoIP상에서 서비스 거부를 발생시키는 SIP Flooding 공격에 대해 분석하고, 기존의 Flooding 탐지 알고리즘인 CUSUM 알고리즘을 연구하여 문제점을 파악하였다. 일반적인 상황뿐만 아니라 네트워크 혼잡시와 같은 상황에서도 Flooding 공격을 효과적으로 탐지할 수 있도록 RTP 패킷을 이용하는 개선된 공격 탐지 기법을 제안한다. 제안한 기법을 MATLAB을 이용하여 각 네트워크 상황별로 INVITE Flooding 공격에 대해 시뮬레이션을 진행하였다. 제안 기법은 정상적인 네트워크 상황 외에 혼잡한 네트워크 상황에서도 별도로 임계치 설정을 조정하지 않고 RTP Packet의 정보를 이용하여 공격을 탐지할 수 있었다.
more초록/요약
Voice over Internet Protocol (VoIP) service is on the rise as the Internet develops further. The existing Public Switch Telephone Network service, however, is decreasing. The VoIP service delivers various multi-media services such as voice, images, and messages over the existing Internet. Lately, the VoIP service is being provided over the Session Initiation Protocol (SIP) for easier implementation and extension. The SIP, however, is being exposed to security risks as it uses the existing Internet. Researches are being conducted to develop effective methods to detect various attacks such as the Distributed Denial of Service (DDoS), VoIP spam, and telephonic modulation. However, the old researches had difficulties in sorting out between busy-network and attacks as they tried to detect the attacks in consideration of maintaining normal traffic network conditions. They also had difficulties detecting the attacks when in busy networking states. This research, therefore, aims to analyze the SIP Flooding attack causing service rejection on VoIP, and to grasp the problems by studying up on CUSUM as an existing Flooding detection algorithm. The research will propose improved detection methods using RTP packets in order to detect the Flooding attacks effectively not only in normal network conditions but also in crowded traffic states. The simulations are designed to operate against INVITE Flooding attacks in various network conditions by applying the proposed methods in the matrix laboratory (MATLAB). The proposed methods were successful in detecting the attacks by using information in RTP packets without separate adjustment of critical mass figures in both normal network conditions and congested traffic.
more목차
제 1 장 서 론 1
제 2 장 관련연구 3
제 1 절 SIP 3
제 1 항 SIP 구성요소 3
제 2 항 SIP 메시지 종류 5
제 3 항 SIP 서비스 동작 7
제 2 절 RTP 8
제 1 항 RTP 데이터 전송 프로토콜 8
제 2 항 RTCP 11
제 3 절 SIP Flooding 공격 15
제 1 항 INVITE Flooding 공격 15
제 2 항 Register Flooding 공격 16
제 3 항 RTP Flooding 공격 16
제 4 절 CUSUM 17
제 3 장 제안방법 19
제 1 절 기존 CUSUM 알고리즘의 문제점 19
제 2 절 제안 기법 19
제 4 장 실험평가 23
제 1 절 실험 시나리오 23
제 2 절 실험 결과 24
제 5 장 결 론 32
참고 문헌 33
Abstract 35
